Se algum dia, algum vendedor ou consultor de segurança lhe informar que vai conseguir entregar uma solução de segurança da informação que lhe traga 100% de eficiência, DESCONFIE! Da mesma forma que não conseguimos garantir em 100% a integridade de nossos pertences físicos, também não conseguimos de nossos pertences digitais, que no caso são nossos Dados.
Por que afirmo isso? Simples! Porque a tecnologia é incapaz de se proteger do ser humano. Uma rede de computadores possui administradores e usuários, todos humanos. Quanto maior a organização, maior é a quantidade desses e maior ainda é a preocupação das áreas de segurança digital. Engenharia Social é o nome da maior vulnerabilidade de segurança que qualquer empresa pode ter. E contra isso, só podemos contar com a conscientização e ética dos colaboradores. Muitas empresas possuem ótimos técnicos super qualificados em tecnologias que oferecem proteção a sistemas.
Mas, será que esses mesmos técnicos também têm a mesma eficiência na conscientização de colaboradores? Saber comunicar isso o suficiente? Sua empresa possui um “conscientizador” que trabalha na área de segurança digital?
Nenhuma empresa está livre de ter um funcionário com acesso a grande quantidade de informações confidenciais e que não possa vir a ser assediado por um concorrente. Ou mesmo que tenha um surto a Lá estilo WikiLeaks e que crie um blog com bastante informações do seu dia a dia de trabalho. São situações factíveis, não?!
Pois então, com base nesses e em alguns outros exemplos, reforço minha teoria de que não existe uma solução em tecnologia de segurança da informação que ofereça 100% de eficiência.
Sendo assim, deixando a paranoia de lado, o que podemos fazer então para garantir o melhor nível possível de segurança às informações da empresa? Em minha opinião, em primeiro lugar, deve ser trabalhada a questão Conscientização de TODOS os colaboradores que possuem ou não acesso as informações (Dados) da empresa. Esse é um trabalho que deve ser constante, assim como a área de Marketing faz Endomarketing com os colaboradores, a área de Segurança deveria promover o “Endosecurity”. A empresa deve “amarrar” todas as pontas de modo que o colaborador saiba de sua responsabilidade para com o uso das informações e das consequências que o uso indevido pode trazer.
Dado o primeiro passo, é importante afirmar que também é necessário fazer a lição de casa e investir em tecnologias de segurança digital. Vamos então as tão faladas tecnologias de segurança. Firewall, Anti-vírus, Anti-Spam, IPS, Proxy, Application Control, VPN, Criptografia etc. É desnecessário conceituar aqui o que cada uma dessas ferramentas fazem. Tenho certeza de que muitos já conhecem ou já ouviram falar. O que muitos ainda não sabem, é que existem caixas (Appliances) que já trazem embarcadas todas essas tecnologias. São as novas tecnologias de segurança UTM (Unified Threat Management).
Muito mais fácil do que gerenciar contratos com diversas empresas, sendo uma para cada solução de segurança, é ter um único fornecedor de segurança que já entregue uma solução mais completa possível. Isso também reduz o custo no investimento da equipe técnica, permitindo a certificação da equipe em uma quantidade menor de fabricantes. Há então a consolidação das tecnologias de segurança digital.
É fato de que ainda existe uma resistência grande com ideias pré-concebidas por parte de equipes de segurança com relação à adoção das tecnologias UTM. Toda nova tecnologia enfrenta resistência no começo até que os primeiros “Early adopters” provem o contrário as ideias pré-concebidas. Cedo ou tarde, os UTMs serão realidade nas empresas. Eis aí a tendência da Centralização.
Casando Conscientização + Tecnologia, podemos então ter uma solução de segurança que realmente atinja um alto percentual de eficiência. Isso parece uma coisa óbvia, porém por incrível que pareça, o óbvio ainda passa longe de muitas empresas, mesmo de médio e grande porte.
Gustavo Pimentel, diretor de Marketing e Vendas da Centric System